移动办公安全解决方案

移动办公安全解决方案目录一、背景分析二、解决方案思路三、架构与技术介绍四、展望移动互联网等产业发展的新机遇随着互联网、移动通信及消费类智能电子产品的快速发展，以及国内外在3G网络、云计算和物联网等领域的着重投入，不仅给传统ISP/SP和运营商带来了新的挑战，也给企业和行业的IT应用带来了新机遇：3G移动互联网——越来越普遍的3G接入服务，使业务处理有机会打破有线网络边界的传统束缚，提高工作效率并带来更多的业务机会；云计算——随着云计算概念逐渐被广泛接受并得到基础设施投入，更多的业务和数据可以在云端服务器处理，并通过便携移动终端访问；智能电子产品——随着Appleiphone/ipad以及Android、WP7等智能移动终端在消费市场迅速成为主流，智能移动终端及其交互模式逐渐被接受，促进了使用此类设备处理业务的需求，同时保证了设备在市场上的充足供给；物联网——随着物联网概念及其相关产业的发展，对分布式的数据采集、处理与管理的需求也会逐渐出现，因此需要移动式的处理系统及交互终端。智能移动终端带来的“后PC时代”AppleIOS与Android等新兴移动系统的快速崛起，在传统笔记本/台式机之外，从手机的基础上走出了一条新发展之路，特别是智能平板设备促成了“后PC时代”的到来：Appleiphone/ipad的品牌效应，是智能终端成为被广泛接受的主流；开放的Android平台与国内强大“山寨”生产能力的结合，带来了智能终端在市场上可保证的充足供给，并有了“按需定制”的可能性。Iphone/ipadAndroid手机/平板淘宝网上的千元Android平板触摸屏带来的便捷交互方式“愤怒的小鸟”等游戏的流行，使消费者迅速接受基于触摸屏的“指、点、划”等便捷交互方式，特别对不熟悉鼠标/键盘操作的中老年使用者体现出巨大亲和力。HTML5——打破了C/S与B/S的边界HTML5标准的普及，以及支持HTML5标准的浏览器逐渐成熟，可以快速部署的跨平台富媒体客户端逐渐成为移动互联网乃至PC桌面应用的主流：基于HTML标准的B/S模式已逐渐成为企业应用的主流，特别是其具有的免安装部署特性；C/S模式应用通常能够提供更友好的界面和响应速度，但是安装部署以及客户端适应性会带来较大的挑战；随着主流浏览器支持能力的持续优化，基于HTML5/CSS3标准的富媒体客户端越来越得到普及，特别适用于需要便捷交互方式、跨平台支持和快速响应的智能移动终端应用。CanvasAPI——实时2D图像绘制与渲染；实时多媒体音视频播放；WebStorage——比Cookie强大的本地信息存储；FileAPI——本地文件处理；离线支持——指定离线使用应用所需要在本地缓存的文件；文档中不同组件间的消息通信；WebSocket——直接进行TCP/IP访问；其它新特性…HTML5（示例）目前部分HTML5已能够达到超越桌面应用的展示效果与用户体验，而且还出现了适用于移动终端的HTML5框架。目录一、背景分析二、解决方案思路三、架构与技术介绍四、展望迫切的移动办公需求随着移动互联网及以ipad为代表的智能移动终端快速普及，包括银行、证券、保险以及大型企业内也出现了较为迫切的移动办公需求：宽带与3G网络的普及，使在公务旅途乃至家庭中办公具有了网络传输的保证，因此也自然地引出了摆脱工位束缚进行“全天候”办公、提高时间利用效率的需求；移动互联网、移动内联网乃至移动物联网的推广，是采用便携设备在移动状态下进行业务具备了可实现性；Iphone/ipad/GalaxyTab等移动终端设备渐渐成为主流，其便捷的使用方式也日益吸引着企业用户尝试将其应用到工作相关的领域。移动办公目前遇到的瓶颈但是目前移动办公应用在推广的过程中还是面临着一些瓶颈，而解决这些问题也正是IT服务提供商的机遇：如何保障安全——由于移动办公将打破传统有线网络边界束缚，因此如何在无线及移动网络上确保信息与业务的安全，是企业用户对移动办公的最大顾虑；企业结构兼容——移动互联网应用正在从消费市场向企业市场转移，目前大量移动互联应用尚未全面考虑与企业IT架构的融合，因此如何与企业IT架构保持兼容、实现企业级移动办公应用，也是企业IT管理部门的重要顾虑；结合行业经验——企业应用比消费市场更注重IT应用与生产运营实际情况的结合，因此如何行业的信息化应用经验，是企业用户在推动移动办公等新型应用前会重点关注的问题。例如目前ipad设备与PKI认证系统兼容问题；例如深层次上ipad设备处理保密信息时的可靠性问题；例如目前金融机构对移动设备安全性的顾虑。安全移动办公解决方案的定位我们通过对发展趋势与行业应用的调研，提出安全移动办公解决方案的定位如下：以具有底层硬件安全设备的智能化移动终端作为客户端工具；使用整合了安全体系的智能服务器所提供的内容转换、页面重构、服务调用、数据处理和信息存储等服务；向用户提供安全的、与业务需求相适应的移动服务功能；从而向用户提供更友好、更方便的用户体验，提高电子化业务处理方式的接受程度，并协助用户以更高的效率完成工作。竞争优势——结合硬件安全设备的整体安全解决方案；业务机会——可拓展的服务端与客户端架构体系；后续价值——用户对持续支持服务的高粘着度。目录一、背景分析二、解决方案思路三、架构与技术介绍四、展望应用架构公网3GOAExchange…ApacheESB&LogicDBHttpServerHttpHTTPServiceServiceDataDataDataDataData3GWifi无线内网安全架构示意图尝试从端到端的视角分析传输及应用两层的安全机制，其中客户端的安全插件、安全库、安全驱动和安全硬件是实现身份认证、保证安全性的基础：移动网安全移动终端设备WebKit客户端本地程序HTML5表现层AJAX/业务逻辑手写插件安全库/安全驱动/安全硬件安全边界隔离区接入区核心区内网接入服务器智能处理服务器业务服务器防火墙应用/用户基础设施安全交互点会话被认证实体（例如用户、系统、消息代理等）消息（灰色部分代表安全属性与封装）受控连接上的会话消息安全插件15通信技术用户移动应用平台外网通信加密化内网通信代理化关键提交签名化提交核心数据加密化终端安全网关服务端技术对于可提供数据服务的应用，采用SOA机构，即EBS（数据转换、路由等），接口（WebService、）。对于需要从页面级进行集成的应用，采用Apache作为反向代理服务器，编写插件，将数据流调用外部的Java、XLT等技术，进行页面重组。通过与集团身份管理与认证系统集成，建立每个用户在所有系统中的用户映射关系，并单点登录到各系统。客户端技术在安全移动办公客户端上主要采用了以下技术：基于WebKit引擎的HTML5/CSS3页面渲染技术；利用Android的Intent消息体系建立的插件体系；利用原笔迹手写技术实现的输入插件；以SDKey为核心硬件安全模块，贯穿全系统各层次并与终端设备紧密集成的加密安全体系：安全算法支持：RSA（1024位）、DES/3DES、ECC（192位）、3DES-MAC、ISO3309_CRC16、随机数生成器、SHA-1、MD5；支持卡内产生RSA密钥对（1024位），平均时间2s；3DES加密运算速率：50μs；ECC（192位签名）生成/验证：20ms/40ms；能够存放至少5个以上容器，支持一个容量双证书，预留10K安全区空间给用户存放私有信息；安全芯片通过国际EAL5+安全认证；由核心权威安全部门研制开发。客户端安全技术客户端文件及文件夹加密客户端邮件加密客户端身份认证客户端安全技术—文件及文件夹加密字节流加解密服务进程后台运行文件加解密文件夹加解密应用程序加解密库内置加解密算法（AES、DES）Pki操作接口（ukey、sdcard接口）Ukey/sdcard应用程序初始化服务接口后，可以调用字节流加解密接口、文件加解密接口以及文件夹加解密接口。客户端安全技术—文件加密原型客户端安全技术—文件夹加密原型客户端安全技术—邮件加密邮件加解密功能需集成在Android邮件客户端中，因为Android邮件客户端没有类似插件机制，所以需要定制开发一款带有加解密功能的邮件客户端程序。邮件加解密功能，主要可以分为两类，邮件本地加解密和邮件传输加解密。邮件加解密一期目标：实现本地加密存储，实现邮件内容和附件加密传送，采用国际标准算法。邮件加解密二期目标：调用TF卡或USBKEY中的国密算法进行加解密。客户端安全技术—邮件加密原型客户端安全技术—身份认证和声音、走路姿势、笑容等生物特征一样，每个人在键盘上击键的特征具有独特和唯一的特征。和PC键盘类似，在平板电脑上的虚拟键盘上，也可以基于用户输入用户名和密码的节奏进行身份识别。既能快速准确识别用户身份，又能节约部署和维护成本。客户端安全技术—身份认证原型目录一、背景分析二、解决方案思路三、架构与技术介绍四、展望行业应用推广的展望以移动办公解决方案的框架体系和技术储备为基础，可以向具有移动业务处理需求的各个领域拓展：面向金融机构移动业务终端；各行业销售人员可使用的移动销售设备；工业控制、物联网等应用中可采用的便携式巡检、管理终端；……竞争优势通过推进安全移动办公解决方案，可能取得以下竞争优势：将安全可靠的智能移动终端作为核心竞争力（高附加值）；以企业架构集成和用户便捷交互作为主要吸引点；通过先期铺开推广终端设备为后续集成与支持服务的销售奠定基础；加强客户对服务与产品的粘着度…….谢谢！